Tento me conectar a uma rede Wi-Fi, Eduroam, usando meu novo Dispositivo Android. Ele me pede para fornecer o certificado CA e avisa que, caso contrário, minha conexão não seria privada.
Nenhum certificado especificado. Sua conexão não será privada.
No meu dispositivo anterior, eu não tinha essa mensagem de aviso. O administrador de TI diz que não há problema em não fornecer o certificado, mas não tenho tanta certeza disso. Ele disse que nossa organização não tem.
A quais ameaças estarei exposto se usar esta rede sem certificado CA?
Custa para uma organização obtê-la?
Comentários
- Existe alguma outra solução além de usar um vpn?
- Eu tenho o mesmo problema na minha universidade. Na verdade, eles têm um certificado, mas o Android 8+ não ' o carrega automaticamente. O Windows 10 sim, e você pode até verificar sua impressão digital. Eu contornei esse problema transferindo o certificado que foi carregado no Windows 10 para o meu Android (você tem que entrar em outro wi-fi ou rede de dados, é claro). Não é fácil, mas funcionou.
- Relacionado: android.stackexchange.com/questions/197261/…
- Este é surpreendentemente conselho muito comum
Resposta
Sem um certificado válido, não há como verificar se o proprietário da rede é quem diz ser.
Em segundo lugar, esses certificados são usados para criptografar o dispositivo cliente com o destino para que você fique vulnerável a um ataque MITM aqui.
A organização precisa pagar para que uma autoridade de registro distribua um certificado – muito pela minha experiência de organizações muito pequenas que hospedam WiFi público vêem isso como um custo desnecessário.
Sua usabilidade da rede não será afetada, mas eu não me conectaria a um WiFi público não verificado, pois é trivial interceptar quaisquer dados fluindo entre você e o AP: é o equivalente digital de não bloquear um banheiro público d oor.
Comentários
- Será que ' a comunicação sem fio ainda seria criptografada usando WPA2? Achei que o requisito do certificado CA era validar as credenciais nesta etapa.
- O handshake inicial do WPA2 exigirá uma verificação do certificado. Se não houver ' nenhum, você pode ignorar isso manualmente e concordar em se conectar, no entanto, você pode estar se conectando a um AP não autorizado (embora, que pode estar usando WPA2, mas seu destino ' não é o que você esperava).
- Uma etapa lógica que acho que você ' está perdendo é que um AP não autorizado não pode realizar nenhuma verificação no nome de usuário / senha fornecidos e apenas dizer " Parece correto;) " e permite que você se conecte, após o qual eles começam bisbilhotando seu tráfego e / ou tentando quebrar a senha da rede real.
- Sim, eu estava pensando mais apenas na criptografia do sinal, não nos dados depois, mas é uma preocupação muito válida.
- Presumo que usar VPN nessa rede reduz o risco de meus dados serem roubados, porque um potencial invasor MITM veria no máximo que estou me conectando ao meu endereço VPN?